Fugas de datos: Consecuencias silenciosas a largo plazo

Si la exageración de los medios sobre una fuga de datos espectacular disminuye, está lejos de terminar. Cada vez que los datos llegan a las manos de los delincuentes, el reloj corre, y los afectados nunca saben cuándo expirará este reloj.

La emoción siempre es grande cuando los datos han caído en manos de delincuentes en el curso de un ataque. Y con razón. Sin embargo, de lo que los medios de comunicación informan comparativamente poco es del uso indebido de información personal por parte de perpetradores individuales o grupos de perpetradores para delitos penales. Esto muestra claramente por qué los ataques exitosos pueden tener consecuencias inmediatas para las personas a largo plazo.

Tal evento no solo es molesto para una empresa afectada, sino que a menudo también tiene consecuencias legales. Sin embargo, después de unas semanas a más tardar, al menos en los medios de comunicación, la hierba ha crecido sobre el asunto y la información gira en torno a otros temas nuevamente. Poco se informa sobre tal incidente. A menos que, por supuesto, los perpetradores publiquen los datos capturados.

Sutilezas lingüísticas

En primer lugar, está el término utilizado a menudo «robo de datos». Todo el mundo sabe lo que se quiere decir con eso. Desde un punto de vista legal, sin embargo, en los casos en los que a menudo hablamos de «robo de datos» (cuando los atacantes descargan una base de datos de clientes de una red infiltrada, por ejemplo), no es un robo en el sentido legal. La razón radica en la definición del término. Así, el párrafo 242 del Código Penal dice lo siguiente:

Ahora se podría argumentar que los datos son bastante móviles en su esencia, y que terceros se apropian ilegalmente de ellos. El punto de fricción, sin embargo, es la palabra «llevar». Eso es exactamente lo que no sucede en este caso. En aras de la simplicidad, dejemos de lado el escenario de «ransomware» por ahora. Incluso si un perpetrador ha «robado» datos, la información todavía está disponible por parte de los propietarios. A diferencia de un artículo como un smartphone o un bolso, que ya no tenemos después de un robo.

Sin embargo, los datos no se «han ido» después de un robo, y el «propietario» aún puede deshacerse de ellos. Este es el quid de la cuestión en el caso del robo de datos: la persona «robada» a menudo ni siquiera sabe que ha sido robada, porque nada se ha «ido» y todo funciona normalmente por el momento.

Entonces, si intenta procesar a un hacker criminal por robo, es probable que falle en la corte. Para responsabilizar a los atacantes, hay otros párrafos.

Detonador virtual a largo plazo

Lo pérfido de los casos en los que los perpetradores obtienen acceso a los datos personales de las personas es que a veces puede tomar semanas o meses para que alguien use estos datos. Un ejemplo actual: en octubre de 2021, hace un cuarto de año en el momento de la publicación de este artículo, los delincuentes habían logrado penetrar en los sistemas informáticos de la ciudad de Witten. Los perpetradores no solo cifraron los datos mediante ransomware, sino que también descargaron datos. Lo mismo ocurrió en julio de 2021 en la administración del distrito de Anhalt-Bitterfeld. Ambos casos fueron ampliamente reportados por los medios de comunicación. Y en algún momento, el tema fue «celebrado» y otros informes reemplazaron a los informes.

Pero los datos copiados ilegalmente permanecen. Unas semanas después del incidente en Witten, el alcalde de la ciudad instó a la precaución. Aunque la cantidad de datos robados es «muy pequeña» en comparación con el stock total de datos, algunos «datos particularmente sensibles» se ven afectados.

Los datos confidenciales son mucho más que contraseñas. Una contraseña filtrada se puede cambiar fácilmente y, a menudo, extenderse por un segundo factor de inicio de sesión. No, las contraseñas son el problema más pequeño, aunque no debemos descuidar bajo ninguna circunstancia. Pero más sobre eso más adelante. Los datos que no se pueden cambiar tan fácilmente, o solo con un esfuerzo a veces desproporcionado, son un problema mucho mayor. Nombres reales, direcciones, números de teléfono, diagnósticos médicos, informes psicológicos, datos de cuentas… toda esta información puede ser monetizada con la energía criminal adecuada. Ya sea llamando a un supuesto soporte de Microsoft, o ordenando productos en nombre y por cuenta de otra persona, abriendo cuentas bancarias con información de terceros, realizando transferencias a expensas de una cuenta bancaria extranjera, aquí solo hay unos pocos límites para la imaginación.

En lenguaje sencillo, esto significa que si un conjunto de datos es robado hoy (para mantener el término una vez), puede tomar meses para que alguien use estos datos con intención criminal. Cuando esto sucede, los afectados suelen tener las manos llenas luchando con las consecuencias. En esta situación, casi nadie se pregunta de qué datos se filtran exactamente la información con la que los delincuentes han vaciado la cuenta bancaria.

Datos antiguos, reutilizados

Incluso los datos obsoletos y obsoletos valen la pena echarle un vistazo a los delincuentes. Así que una y otra vez los correos electrónicos hacen las rondas, en los que el remitente finge tener material de imagen o video comprometedor sobre usted. Los perpetradores amenazan con publicar las imágenes si la víctima no paga un rescate. Para enfatizar su propia demanda, los perpetradores a menudo escriben algo sobre un software espía de última generación supuestamente instalado en la computadora, que puede leer todo, y como prueba se envía una contraseña real en texto plano. Por supuesto, esto causa una buena impresión en una víctima potencial.

Una vez superado el primer shock, sin embargo, resulta que la contraseña mencionada ya formaba parte de una fuga de datos hace años, por ejemplo, en LinkedIn o Adobe. Y dado que muchas personas no cambian sus contraseñas después de una fuga de datos o usan la misma contraseña varias veces a pesar de las advertencias nuevas y urgentes, existe una buena posibilidad de que dicha contraseña todavía se haya utilizado en otros lugares. Incluso si lo cambiaste en una de las plataformas hace años. Pero el choque oscurece la visión clara.

Del mismo modo, los grupos de perpetradores también han utilizado información antigua en el pasado para obtener datos actualizados, por ejemplo, a través de correos electrónicos en los que solicitan abiertamente la «confirmación» o «actualización» de datos bajo un pretexto.

La cantidad no es decisiva

A los medios les gustan los grandes números. Por ejemplo, a menudo leemos informes que hablan de gigabytes o terabytes de datos que son «robados». La cantidad de datos aún no dice nada sobre el contenido o la explosividad de la información, como lo demuestra el caso Witten. Por ejemplo, si hackea un servidor de almacenamiento y descarga todo el archivo de video de una empresa, primero ha adquirido una cantidad considerable de datos. Sin embargo, queda por ver si estos tienen un significado. Para dar un ejemplo particularmente llamativo: si, por ejemplo, los cinco terabytes descargados de archivos de video están disponibles públicamente en una plataforma como YouTube de todos modos, el alcance de esta incursión virtual se relativiza rápidamente, incluso si una cantidad de datos que suena sensacional ha fluido aquí.

El hecho de que la cantidad pura de datos no sea un indicador adecuado del daño causado se muestra en otro ejemplo sorprendente: un solo archivo de Excel de 500 kilobytes puede no valer un mensaje a primera vista si observa el tamaño del archivo puro. Sin embargo, si el archivo contiene todas las contraseñas de usuario de una red corporativa, entonces una fuga de datos supuestamente poco espectacular se convierte rápidamente en un evento con suficiente poder explosivo para dañar de manera sostenible incluso a una gran empresa. Y un solo archivo de este tipo también se pierde a menudo cuando han salido grandes cantidades de datos: a menudo toma días para que una empresa o una autoridad noten lo que se les ha escapado.

Retrogusto Schaler

Después de una fuga de datos, siempre quedan sentimientos encontrados. Quizás la verdad más inconveniente es que una vez que se filtran los datos, están «afuera» y nunca se pueden volver a capturar. Las únicas opciones que todos tenemos como usuarios es estar atentos y prestar mucha atención a la información que divulgamos en línea. Incluso si ya nadie puede oírlo, una buena higiene de la contraseña es una necesidad absoluta, al igual que el uso de un administrador de contraseñas y el uso de la autenticación de dos factores siempre que sea posible. Si una plataforma se ve comprometida, la contraseña debe cambiarse inmediatamente. Sin peros ni peros.

Y cuando se trata de autoridades, tanto el gobierno federal como el estatal están llamados a proporcionar fondos y capacidades de personal para hacer posible la seguridad de TI. Hasta ahora, a menudo se ha dado el caso de que la seguridad de TI es el resultado de la iniciativa de unos pocos. La complejidad parcialmente aumentada de una infraestructura de gestión hace el resto para hacer de la seguridad un verdadero desafío.

La legislación sobre contratación pública y licitación también debe ponerse a prueba en este caso. Si, para remediar un problema que no es necesariamente agudo –como un ataque que se está produciendo actualmente, que permite procedimientos acelerados o la elusión de una licitación– tiene que iniciarse un procedimiento largo con trabas burocráticas, entonces esto no conduce a una seguridad real que lleve con razón este nombre.

Enlace: Fugas de datos: Las consecuencias silenciosas a largo plazo de un «robo» | G DATOS (gdata.de) Blog de G DATA Tim Berghoff